如何防护网站被ddos*** 首先要了解什么是流量***

如何防护网站被ddos*** 首先要了解什么是流量***

分类专栏： 网站安全 服务器安全 如何防止网站被黑 如何防止网站被挂马 如何防止网站被侵入 网站安全服务 网站安全防御服务 网站安全维护 网站安全
版权
什么是DDOS流量***？咱们大多数人第一眼看到这个DDOS就以为是英文的，有点难度，毕竟是国外的，其实简单通俗来说，DDOS***是利用带宽的流量来***服务器以及网站。

举个例子，服务器目前带宽是100M，忽然从外边来了200M的带宽流量进来，那么服务器根本承载不了这个200M的带宽流量，服务器的网络瞬间就会瘫痪，致使服务器没法链接，甚至致使服务器里的网站都没法打开，由于200M的带宽流量，已经占满了整个服务器的100M带宽。

再举一个更贴切于生活的例子：一家饭店，正常状况下最多能承载100我的吃饭，由于同行竞争，对面饭店老板雇佣了200个社会小混混去饭店吃饭，致使饭店满客，没法再接纳正常的客人来饭店吃饭了。这就是DDOS***，利用流量去占满服务器的带宽，致使没有多余的带宽来提供用户的网站访问。

DDOS流量***分不少种，有UDP-flood流量***，TCP-flood流量***，ICMP-flood流量***TCP/UPD/ICMP分片式流量***，SYN-flood流量***，ACK-flood流量***，zeroWindow***，SSL-flood***，SSLkeyrenego***，DNS反射性放大流量***，NTS反射，NTP反射,SNMP反射，SSDP反射，Chargen反射。

UDP-flood是属于UDP协议中的一种流量***，***特征是伪造大量的真实IP并发送小数量的数据包对要***的服务器进行发送，只要服务器开启UDP的端口就会受到流量***。如何防护这种流量***，对UDP的包数据大小进行设置，严格把控发送的数据包大小，超过必定值的数据包进行丢弃，再一个防护的方法是只有创建了TCP连接的IP，才能发送UDP包，不然直接屏蔽该IP。

ICMP是利用ICMP协议对服务器进行PING的***，放大icmp的长度，以及数据包的字节对服务器进行***。TCP-flood***是一种使用tcp三次握手协议的一种方式来进行的***，***特种是伪造大量的真实IP去链接要***的服务器，致使服务器没法承载更多的TCP链接而致使服务器瘫痪。

SYN-Flood是利用SYN协议，客户端协议上发送SYN数据，服务器接收到并响应SYN以及ACK反映，***者利用这个方式去模拟大量的客户链接发送数据包，致使服务器瘫痪。

ACK-Flood的***跟上面这个SYN的***差很少，都是一样采用发送数据包到服务器端去，***者利用ACK数据包进行***，只要服务器接受ACK的包，那么就会形成ACK链接过多致使服务器资源耗尽，服务器没有多余的资源来接收ACK的包，服务器就没法打开了。

SSL-Flood是利用客户端不断的与SSL通道握手，SSL的资源比普通的用户访问HTTP网站消耗的资源还要多，会多出几十倍，配置低的服务器根本没法承载SSL的屡次请求与握手，致使服务器的CPU占用到百分之90，没有多余的CPU去处理用户的访问。SSL流量***如何防护：禁用Renegotiating的安全机制来防护大量的SSL流量***。

反射放大性流量***

反射性的***，无论是DNS反射仍是NTP反射，都是使用的UDP协议***，UDP协议里访问用户发送请求的数据包到服务器，服务器再反馈给用户端，那么用户端发送到服务器里的请求数据包里，用户的IP能够进行伪造，能够伪形成服务器的IP，服务器IP发送数据包到服务器IP里，这样就形成了反射***。

DNS反射***也是同样的道理，利用DNS服务器的解析进行***，伪造要***的服务器IP，进行DNS查询，并查询到DNS服务器里，DNS服务器返回数据包到要***的服务器IP中去，一来一去

造成了反射流量***。